Securitybedrijf: 91 procent bait attacks afkomstig van Gmail-adressen

Securitybedrijf Barracuda Networks stelt dat 90 procent van bait attacks komen van Gmail-adressen. Dat stellen ze na een onderzoek waarin het bedrijf het mailverkeer van 10.500 bedrijven onderzocht. Ongeveer 35 procent daarvan ontving in september minstens één bait attack-mail.

Een bait attack is een soort phishingmail waarmee aanvallers nagaan of een e-mailadres in gebruik is voordat ze overgaan tot daadwerkelijke phishing. Ze doen dit door een mail te versturen met weinig of geen tekst in het tekstveld, terwijl het bericht ook ook geen links of schadelijke bijlagen bevat. Hierdoor worden de mails minder snel opgemerkt door spamfilters.

Volgens de onderzoekers gebruiken de kwaadwilligen vooral gratis maildiensten zoals die van Gmail, Outlook of Yahoo. Opvallend is daarbij dat meer dan 90 procent van de bait attacks afkomstig waren van een Gmail-mailadres. Dat komt volgens de onderzoekers omdat Gmail een goede, betrouwbare reputatie heeft. In hun rapport schrijven de onderzoekers dat bait attacks zo snel mogelijk verwijderd en niet geopend moeten worden.

Update, 18u15: 'bijlagen' aangepast naar 'schadelijke bijlagen'.

Afbeelding onderzoek Barracuda

Lees meer

Reacties (68)

dasiro
11 november 2021 17:50

hoe slagen ze er in om het openen van een mail te zien? Er gaat op zo'n moment toch geen traffic naar buiten

SmokingCrop
@dasiro • 11 november 2021 17:51

Er zijn manieren om dat te weten te komen.
Doen ze bij nieuwsbrief services ook : "To find this out, Mailchimp loads a tiny, transparent image into each campaign, and counts how often the image is loaded among the delivered campaigns. The image is invisible to your subscribers."

[Reactie gewijzigd door SmokingCrop op 11 november 2021 17:52]

GertMenkel

Google
Networking en security

@SmokingCrop • 11 november 2021 20:26

Niet alleen worden die afbeeldingen in de meeste gevallen niet eens geladen, Gmail en andere mailaanbieders openen en downloaden dit soort plaatjes al... aan de serverkant. Je kunt de mail nooit openen en de stalkingslink wordt alsnog geactiveerd.

Deze statistiek is daarmee voor iedereen die Google's services voor mail gebruikt compleet nutteloos.

Ook klikt Gmail op sommige HTTP-links (dit is als het goed is geen probleem, want GET-requests zouden geen staat aan de serverkant moeten veranderen als je een competente programmeur bent die zich aan de standaarden houdt) dus zelfs uitgaande links tracken helpt niet.

Op zich ben ik het eens met al deze privacyfeatures, ondanks dat Google dit overduidelijk doet om trackingsmogelijkheden voor zichzelf te houden.

Nickkname
@GertMenkel • 11 november 2021 20:55

Ik meen dat het anders werkt, plaatjes worden pas aan de serverkant geladen áls de mail wordt geopend.

Ik kan mij niet voorstellen dat Gmail op http links gaat klikken, dan zouden ze per abuis mensen kunnen uitschrijven van nieuwsbrieven....

GertMenkel

Google
Networking en security

@Nickkname • 12 november 2021 01:17

Dat Google de afbeeldingen vooraf ophaalt, is al meerdere malen beschreven. Stalkende marketeers hebben natuurlijk methoden gevonden om alsnog data binnen te hengelen, maar Google haalt wel degelijk afbeeldingen binnen voor je de mail aanklikt.

Over het klikken van links dat Google doet, kan ik erg weinig vinden behalve een paar forumthreads zonder bevestiging van Google.

Ik vermoed dat het in elk geval te maken heeft met Google's Click Time Protection dat Google de link laat bezoeken om de veiligheid te controleren voor de gebruiker dat doet. Dit betekent dat de link in feite twee keer wordt aangeklikt. Ik vermoed dat enkele van deze mensen die dubbele/Google-afkomstige linkkliks zien verward zijn door deze bescherming. Het kan ook zijn dat Google bij verwarring of verdenking van spam de checks ook preventief uitvoert (zo rapporteert minstens één iemand dat het probleem met TLS op de mailserver is opgelost, wat je bijvoorbeeld een betere mailscore geeft en indirect de kliks kan laten verdwijnen). Ook andere software (mailscanners, antivirus, etc.) vertoont dit gedrag om tijdig te kunnen waarschuwen voor phishing of virussen.

Natuurlijk is dat geen probleem, want het is maar een GET-request dus je applicatie kan die zonder problemen meerdere malen ontvangen (zo niet, bij deze een waarschuwing, fix je applicaties). Als je klanten na die ene klik direct worden uitgeschreven, zit je maillijstapplicatie gewoon slecht in elkaar en zal ook iedereen die Avira of Norton draaien (volgens mij, de laatste keer dat ik er naar keek) automatisch van je nieuwsbrief worden uitgeschreven.

Microsoft doet dit soort dingen volgens mij ook, maar daar kan ik niet zoveel bevestiging over vinden behalve verhalen van derde partijen die behoorlijk shady overkomen. Het kan zijn dat alleen spammers en scammers daar in de praktijk last van hebben, ik durf er weinig over te zeggen.

Ik vertrouw Google erop dat ze niet op links klikken die (vertalingen van) "uitschrijven" heten, maar andere bedrijven weer niet. Mocht je van partijen met vage mailsystemen ineens geen mailtjes meer ontvangen, zou dit misschien nog wel de reden kunnen zijn...

[Reactie gewijzigd door GertMenkel op 12 november 2021 01:18]

Nickkname
@GertMenkel • 12 november 2021 16:08

Goede uitleg. Wij hebben wel een maillijst waarbij je met 1 klik kan unsubscriben. Ik vind dat persoonlijk wel klantvriendelijk. Maar ik ga het na dit gelezen te hebben toch eens heroverwegen.

Maar hoe zit dat dan met activeringslinks die gestuurd worden?

[Reactie gewijzigd door Nickkname op 12 november 2021 16:12]

GertMenkel

Google
Networking en security

@Nickkname • 12 november 2021 16:41

Ik ben het met je eens dat zo'n single click unsubscribe veel klantvriendelijker is. Helaas werkt de technologie in de praktijk niet zo dat je dat vanuit een mailtje kan doen.

Als je het nog niet doet, kun je de List-Unsubscribe header toevoegen aan de mailtjes. Daarmee kan het mailprogramma een knopje tonen voor het uitschrijven. Een bijkomend voordeel is dat Gmail bij de aanwezigheid van de header ook nog aanbiedt om je uit te schrijven als je zo'n mailtje naar de spam verplaatst. Veel mensen weten niet waar het spamfilter voor dient en klikken hij nieuwsbrieven die ze niet meer willen ontvangen de spamknop aan (wat natuurlijk heel slecht is voor je reputatie als afzender, want het traint het spamfilter om ook voor anderen je nieuwsbrieven in de spam te flikkeren). Als men in die popup op "uitschrijven en verplaatsen naar spam" klikt, weet je in elk geval zeker dat zo'n persoon niet de volgende twintig nieuwsbrieven als spam rapporteert aan Google of Microsoft.

Activeringslinks zullen hetzelfde nadeel hebben als alle andere links. In de meeste gevallen vermoed ik dat het geen probleem is, maar het is lastig zeker weten. Ik zou er dezelfde beperkingen aan vastmaken. Dat kan overigens met een hele simpele webpagina die een formulier verzendt op basis van data die in de URL wordt gestopt, want crawlers sturen als het goed is geen POST-requests.

Bij een heel stel websites werkt de activeringslink alleen maar vanuit de sessie waarin hij gemaakt is (dus zelfde apparaat, zelfde browser). In dat geval zou het wel werken met een enkele klim, want de Gmail crawler heeft geen sessiecookies dus de link kan doen alsof hij niet werkt. Een afmeldlink zal dat voordeel waarschijnlijk weer niet hebben, helaas. Ook als de link een one-time use link is, wordt het lastig.

Istrilyin
@GertMenkel • 12 november 2021 08:02

Met Salesforce is het toch een echt probleem. De 'forgot password' email via het inlogscherm bevat een link die slechts 1x gebruikt kan worden... Dus gebruikers met beschermde email servers krijgen een verlopen link - altijd.

phoenix2149
@Istrilyin • 12 november 2021 11:32

Wellicht omdat bedrijven als Salesforce gewhitelist zijn?

SED
@GertMenkel • 12 november 2021 11:30

Bedenkelijke manier van werken. Google brengt bij reclame kosten in rekening adhv het aantal clicks dat die genereren. Met deze werkwijze verhogen ze dus onterecht hun eigen inkomsten.

_Pussycat_
@Nickkname • 12 november 2021 00:26

Dat was al eens gebeurt bij de Google web accelerator, die downloadde alvast dingen achter links om het browsen sneller te maken. En inderdaad bleek "get" soms ook heel andere dingen te doen en moest het product teruggetrokken worden.

SubSpace

@GertMenkel • 12 november 2021 08:12

Ook klikt Gmail op sommige HTTP-links (dit is als het goed is geen probleem, want GET-requests zouden geen staat aan de serverkant moeten veranderen als je een competente programmeur bent die zich aan de standaarden houdt) dus zelfs uitgaande links tracken helpt niet.

Want spammers en oplichters zijn geïnteresseerd in het zich houden aan standaarden?

En bij downloaden van een plaatje kan men ook wel onderscheid maken tussen een GMail server en iemand op een consumenten-internet-lijntje, op basis van IP-ranges bijvoorbeeld.

GertMenkel

Google
Networking en security

@SubSpace • 12 november 2021 09:40

De spammers en oplichters hebben er natuurlijk niets aan, die ontvangen nepkliks terwijl Google door hun verborgen domein tuurt en ze op de phishinglijst gooit.

Bij plaatjes downloaden kun je wel onderscheid maken, maar effectief betekent het dat je niets weet over Gmail-klanten aangezien het normaal gesproken altijd de server is die de plaatjes downloadt. Lijkt me ook vooral een win voor Google en haar gebruikers, niet zozeer voor de spammers.

VluggeJ4pie
@GertMenkel • 11 november 2021 23:18

Het is niet compleet nutteloos.

Er wordt vanuit de grote services (Google en MS) netjes een useragent meegestuurd wanneer deze worden geopend aan de serverside. Samen met de gebruikte IP ranges kun je dit verkeer er eenvoudig uit filteren.

Het is niet waterdicht maar zeker ook niet compleet nutteloos.

liberque
@SmokingCrop • 11 november 2021 17:54

Volgens jouw link staat er in dat geval een transparant plaatje in de body. Dat staat haaks op de tekst "terwijl het bericht ook ook geen links of bijlagen bevat"

SmokingCrop
@liberque • 11 november 2021 17:57

Slecht vertaald door de redacteur hier op Tweakers, uit de bron:
"Because this class of threats barely contains any text and does not include any phishing links or malicious attachments, it is hard for conventional phishing detectors to defend against these attacks."
Een transparante pixel is op zich niet malicious/phishing.

Uit de bron is ook te halen dat ze kijken of er een undeliverable auto-reply op terug komt.

[Reactie gewijzigd door SmokingCrop op 11 november 2021 18:00]

Auteur

JayStout
@SmokingCrop • 11 november 2021 18:17

De vertaling in het artikel is aangepast naar 'schadelijke bijlagen'.

DigitalExorcist

@liberque • 11 november 2021 18:01

Een plaatje is dan ook geen link of bijlage

AceAceAce
@DigitalExorcist • 11 november 2021 18:04

Dat ligt er aan hoe je een plaatje toevoegt aan je mail; als bijlage, of als rich HTML in de body kwakt.

Creesch
@AceAceAce • 11 november 2021 18:08

In dit geval moet het wel het laatste zijn, anders kunnen ze nog steeds niet zien dat het plaatje is geladen en de mail dus geopend.

willyb
@Creesch • 11 november 2021 20:16

Goede reden om een applicatieve firewall (zoals Little Snitch) te draaien: mailprogramma's halen al dat soort webbugs (zoals dat dacht ik heet) binnen en zo een firewall blokkeert dat meteen af (en geeft je per unieke adres vervolgens de kans toch wat door te laten). Na paar dagen heb je alle echte inhoud (bv. plaatjes die ook worden opgehaald) wel gefilterd van die webbugs, en bij spammail open je niets.

laptopleon
@willyb • 12 november 2021 10:50

Daar heb je Little Snitch niet eens voor nodig (hoewel nuttige applicatie). Alle mailprogramma’s die ik heb gezien kun je instellen op niet laden van html img’s

willyb
@laptopleon • 12 november 2021 11:49

Klopt, maar dan zie je geen enkel plaatje.
De ervaring leert dat het dan vervelend wordt mail goed te kunnen lezen

En vaak is die feature buggy: selecteer maar eens meerdere mailtjes en zie dat de software dan soms ineens wel dingen aan het inladen is.

[Reactie gewijzigd door willyb op 12 november 2021 11:50]

laptopleon
@willyb • 12 november 2021 14:05

Klopt, je ziet dan niets meer, ook niet meer van legitieme mailtjes.

Dat was ik alweer bijna vergeten omdat ik weinig last heb van spam dankzij SpamSieve. Dat is een spamfilter in de vorm van een plugin voor macOS Mail. Het kost 1x iets van € 25, je 'traint' hem door een zwik spam te markeren en daarna komt er nog nauwelijks meuk doorheen. Ik kan een 'commercieel' spamfilter iedereen aanraden.

glatuin
@SmokingCrop • 11 november 2021 17:53

Wanneer je mail opent en plaatje wordt geladen kunnen ze al eea meten. Vandaar dat het veiliger is standaard het laden van externe content zoals plaatjes uit te zetten in je mail. Je ziet ook in je Gmail spam folder dat op die plek het al is geaan door Google.

FreshMaker
@SmokingCrop • 11 november 2021 17:57

https://uglyemail.com/

Naast de standaard blokkades zelf ook in de gaten houden.
Je zal je verbazen hoeveel deze alsnog ertussenuit pikt.

[Reactie gewijzigd door FreshMaker op 11 november 2021 17:57]

Tomatoman
@SmokingCrop • 11 november 2021 21:30

Er is natuurlijk ook nog de aloude manier, die nog steeds werkt: stuur een grote lijst potentiële mailadressen dagelijks een irritante nieuwsbrief met unsubscribe link. Iedereen die zich afmeldt, heeft een bestaand e-mailadres dat actief wordt gebruikt.

mschol

@SmokingCrop • 11 november 2021 19:41

gmail, en andere mail clients,blokkeren het laden van externe plaatjes standaard, zegt dus nog niks

herofruit
@dasiro • 11 november 2021 17:52

Als het e-mailadres niet bestaat, ontvangt de aanvaller doorgaans een ‘mail delivery system’ melding van de ontvangende server.

liberque
@herofruit • 11 november 2021 17:56

.. maar dan zien ze nog niet of een mail geopend is of niet...

lepel
@liberque • 11 november 2021 18:13

Nee maar dit is de andere kant van detectie, als ze die “not delivered” melding terug krijgen weten ze in ieder geval dat dat email adres niet bestaat en ze het van de lijst kunnen halen.

Wanneer ze een email sturen is alles onbekend, wordt de tracking pixel (met waarschijnlijk een unique identifier erin bijv “tracking.png?id=1234567” gekoppeld aan jouw emailadres) geladen dan weten ze dat het bestaat en ze meer kunnen spammen, krijgen ze de delivery failure terug weten ze dat niet niet bestaat en verwijderd kan worden.

Met het verwijderen van niet bestaande adressen maken ze de kwaliteit van hun email bestand beter en kunnen ze er ook meer geld voor vangen bij doorverkopen.

[Reactie gewijzigd door lepel op 11 november 2021 18:15]

liberque
@lepel • 11 november 2021 18:19

Zou Google niet een of andere beveiliging hebben ingebouwd dat als er vanaf een bepaald account honderden onjuiste email adressen worden aangeschreven ze stoppen met het versturen van undelivered meldingen? Ik kan mezelf herinneren toen ik jaren geleden met mijn eigen MTA (Exim) bezig was dat zelfs ik ingesteld had dat als een bepaalde treshold overschreden werd de afzender en zijn ip-adres gewoon door de MTA genegeerd werd voor x aantal uur. Lijkt me sterk dat Google niet iets soortgelijks doet.

robvanwijk
@liberque • 11 november 2021 20:11

Zou Google niet een of andere beveiliging hebben ingebouwd dat als er vanaf een bepaald account honderden onjuiste email adressen worden aangeschreven ze stoppen met het versturen van undelivered meldingen?

Gmail verstuurt de "undeliverable" meldingen niet, maar ontvangt ze juist.

Ik kan mezelf herinneren toen ik jaren geleden met mijn eigen MTA (Exim) bezig was dat zelfs ik ingesteld had dat als een bepaalde treshold overschreden werd de afzender en zijn ip-adres gewoon door de MTA genegeerd werd voor x aantal uur.

Ik denk niet dat andere mail servers snel zullen besluiten om Gmail te blokkeren. Specifieke Gmail-accounts zou nog kunnen, maar ik neem aan dat dit soort spammers over een hele waslijst aan accounts beschikken, wat dat erg lastig maakt.

mjtdevries
@liberque • 12 november 2021 12:55

Zou Google niet een of andere beveiliging hebben ingebouwd dat als er vanaf een bepaald account honderden onjuiste email adressen worden aangeschreven ze stoppen met het versturen van undelivered meldingen?

De standaard methode hiertegen is tarpitting.
Bij elke foutmelding voeg je bv een seconde wachttijd toe aan je antwoord naar de zender. En vanaf meer dan 30 zijn voeg je 5 seconden per foutmelding toe.
Normaal gesproken zijn er geen foutmeldingen (of heel erg weinig) en is dit geen enkel probleem voor valide zenders.
Maar bij een spammer loopt het aantal foutmeldingen hard op en is de wachttijd snel een kwestie van uren of zelfs dagen.
(Maar als je connectie een uur moet wachten breek je 'm natuurlijk af)

Op die manier kan een spammer geen lange lijst van email adressen uitproberen.
Doe je dat niet dan heeft iemand in 10 minuten een complete adreslijst van honderdduizenden adressen.

laptopleon
@lepel • 12 november 2021 11:00

Wat @liberque zegt en daarnaast: Sturen spamfilters, serverside bij je hosting, dan wel client-side, ook geen “not delivered” / bestaat niet berichten terug op mails die overduidelijk (test)spam zijn? Ik meen me daarvoor opties te herinneren in spamfilters, van jaren geleden.

Deze trucs zijn natuurlijk ook niets nieuws. Ik hoop het nog eens mee te maken dat er een Mail 2.0 bedacht en uitgerold wordt, met waterdichte identificatie. Dan kan je iets zinnigs doen om spam aan te pakken. Per id maar een x aantal mails per dag laten versturen bijvoorbeeld. Massale mails alleen toestaan na opt-in door de ontvanger, dat soort maatregelen.

bazzi

@dasiro • 11 november 2021 19:49

Bij een niet bestaand adres krijg je een failed bericht terug. Dus als je je populatie weet naar wie je heb gestuurd en dan de failed er vanaf heb je een populatie met waarschijnlijk werkende mailadressen...

dasiro
@bazzi • 11 november 2021 22:07

dat is geen leesbevestiging, maar een onrechtstreekse bevestiging van aflevering

bazzi

@dasiro • 12 november 2021 07:20

Ja maar geeft wel aan of mail adressen bestaan. Staat nergens in het tweakers stuk dat men aast op leesbevestigingen. Ze zoeken alleen waarschijnlijk bestaande mailadressen. Met tracking pixels is de kans groot dat spam filters dat herkenen en blokkeren. Leesbevestigingen worden vaak sowieso gestript door filters en genegeerd door mailclients

dasiro
@bazzi • 12 november 2021 08:42

het artikel is ondertussen aangepast

bazzi

@dasiro • 12 november 2021 14:38

Nou persoonlijk vind ik van niet en kan het nog steeds zo zijn hoe ik het zeg. Echter heeft het oorsponkelijk artikel het over replyen op een bait mail... (dat sluit nog steeds niet uit hoe ik het zeg)

dasiro
@bazzi • 12 november 2021 16:22

oorspronkelijk stond er dat het openen werd gecontroleerd, maar dat staat er nu niet meer in. Wat een tracking pixel is weet zowat het kleinste kind. gmail of andere gratis maildiensten diens domain helemaal als trusted sender markeren om external content automatisch te downloaden is gewoon bad practice als sysadmin. microsoft heeft er dan ook een (niet zo propere, doch efficiënte) oplossing voor voor outlook

liberque
11 november 2021 17:49

.. een voorbeeldje van zo'n bait-mailtje zou dan wel handig zijn voordat iedereen een mail van mijn.overheid.nl over de belastingdienst als bait-mail aan gaat duiden

geronimos23
@liberque • 11 november 2021 17:52

Ze doen dit door een mail te versturen met weinig of geen tekst in het tekstveld, terwijl het bericht ook ook geen links of bijlagen bevat.

Ik denk dat er in zo'n voorbeeld niet veel te zien is

dafallrapper
@liberque • 11 november 2021 17:55

Deze kun je vinden in het bron artikel...

Mizgala28
@liberque • 11 november 2021 20:29

Mijn zus kreeg een vorige week, en de dagen ervoor kreeg ze meerdere vage tekst only e-mails met random tekst erin.

Paar dagen later kwam er eentje van "belastingdienst" en eentje van "mijn overheid" binnen.

Nog voordat ik verder ging speuren gingen de alarmbellen meteen af, want er stond een exact bedrag van terug gave die nooit kon kloppen, en er zat een linkje bij, iets wat mijn overheid aangeeft niet te sturen in hun mails.

De "belastingdienst" mail kwam later met vrijwel hetzelfde inhoud, alleen wat agressiever dat "u dit NU moet doen".

Maar het waren geen Gmail adressen die het stuurden, eentje was overduidelijk nep met @mynoverheid.nl en 2de was @belastingdienst.nl

Die laatste zie ik mensen nog vaker in trappen dan de eerste.

[Reactie gewijzigd door Mizgala28 op 11 november 2021 20:31]

laurens0619
11 november 2021 19:10

Wij van wc eend……

Gewoon manier dus om hun product te promoten. Die mailtjes kun je idd niet zoveel tegen doen.
Tegelijk zo gevaarlijk zijn ze niet. Er zijn miljoenen datarecords in omloop met databestanden met email adressen. Waarom
Zou je eerst als aanvaller willen weten of het mail adres werkt? Gewoon goede dataset kopen uit leaked data breach

Lagonas
@laurens0619 • 11 november 2021 19:21

En hoe weten ze of die data set goed is? Juist, door te testen. Zelfs data breaches zitten vol met niet (meer) bestaande adressen.

laurens0619
@Lagonas • 11 november 2021 20:20

Verstuur de phishing mail, weet je of die werkt

beerse
11 november 2021 18:02

Gaat het hier om een gmail adres als in account@gmail.com? Of ook alternatieven en door google gehoste domeinen?

Als het vanuit account@gmail.com komt allemaal, dan is er ergens iets niet helemaal goed bij google, dat de adressen te makkelijk en automatisch kunnen worden aangemaakt. Dat is echt een kwalijke zaak.

Of is het ook/vooral van account@gmail.com adressen die door anderen zijn gebruikt? Dat het from: adres wordt gefaked? Het is vanuit google nogal makkelijk om een from: adres te neppen. Daar zou google iets aan moeten doen.

En in de header staat het bij versturen opgegeven from: adres (met dubbele punt) maar er is ook een plaats voor een from adres zonder dubbele punt, het gebruikte account...

Soldaatje
@beerse • 11 november 2021 18:21

Dat is vreemd ja, je hebt toch ook een mobiel nummer nodig om een account aan te maken tegenwoordig?

beerse
@Soldaatje • 11 november 2021 21:52

Je hoeft geen account aan te maken om mail te versturen uit naam van een account.
Met een mail applicatie zoals thunderbird kan je het versturen van je mail instellen dat ze account@gmail.com gebruikt om mail te versturen. Maar bij het componeren van het mail bericht kan en mag je een ander 'from:' adres intypen. Als je bij thunderbird een mailtje maakt stat rechts van je from: adres een pijtje met onderaan 'customize from adres'. Selecteer eerst je google account om een mailtje te versturen en daarna 'customize from adres'. Daar kan je dan vanalles@gmail.com invullen en een mail versturen naar een andere mailbox waar je bij kan. kijk dan in de ontvangen mail waar ze vandaan komt....

Toegegeven, ergens onder water moet je beter je best doen dan ik zojuist heb beschreven maar echte spam-sturendene software doet dat 'automatisch'.

Zo krijg ik ook wel spam binnen die ik zelf verstuurd zou hebben als ik de mail mag geloven.

mikeoke
11 november 2021 18:16

Hierbij dan de inhoud van het bericht, zoals dit in de header staat

Content-Type: text/html; charset="UTF-8"

<div dir="ltr"><br></div>

Je kunt dit soort en andere spam berichten (afkomsting van Google) melden op de website:
https://support.google.com/mail/contact/abuse

hierbij nog een stukje van de email header (pass = dmarc/spf/dkim)

ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@gmail.com header.s=20210112 header.b=HsDmrUwm;
spf=pass (google.com: domain of sanlakouatidja@gmail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=sanlakouatidja@gmail.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Return-Path: <sanlakouatidja@gmail.com>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41])
by mx.google.com with SMTPS id j84sor20856ybc.71.2021.11.10.06.51.05
for <ontvanger@yourdomain.nl>
(Google Transport Security);
Wed, 10 Nov 2021 06:51:05 -0800 (PST)
Received-SPF: pass (google.com: domain of sanlakouatidja@gmail.com designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
dkim=pass header.i=@gmail.com header.s=20210112 header.b=HsDmrUwm;
spf=pass (google.com: domain of sanlakouatidja@gmail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=sanlakouatidja@gmail.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com

kodak

Networking en security
Phishing

11 november 2021 18:50

Dus ze beweren eerst dat 91% van deze phishing wel erg makkelijk te herkennen is. Maar dan komen ze als oplossing met de bewering dat het gewoon filteren niet helpt en je AI moet gebruiken om deze phishing te herkennen. Dat klinkt niet redelijk, omdat het herkennen op basis van duidelijke kenmerken een basis is van normale filtering.

Daarbij leggen ze niet redelijk uit waarom gewoon filteren niet werkt, ze doen simpel een bewering dat de reputatie van gmail te hoog zou zijn, zonder duidelijk te maken waarom die bewering klopt en waarom hun oplossing dan beter zou zijn. Als de reputatie van gmail te hoog zou zijn dan ligt dat niet aan de filtering maar aan de gekozen betrouwbaarheid bij het filteren. Als er al jaren klachten zijn over phishing en andere onbetrouwbare mail vanuit gratis maildiensten dan valt er eerder te betwijfelen aan de keuze om die mails maar betrouwbaar te gaan of blijven beschouwen.

Er is ook geen logica om te stellen dat als het een niet werkt jou oplossing dus wel zou werken.

[Reactie gewijzigd door kodak op 11 november 2021 18:58]

Fruitvlieg
11 november 2021 21:28

Mensen hadden het ook over spoofing, hoewel dat niet het onderwerp is, kan je spoofing prima gebruiken in combinatie met baiting vermoed ik.
(en extra uitleg geven is leuk)
Vroeger kwam from spoofing vaker voor.
Om dat uit te leggen kan je beter even spelen met het volgende tooltje: https://emkei.cz/ (Let op, ga niet zomaar vreemde bedrijven 'testen'. Het is wel erg nuttig om e-mail beter te begrijpen) Je kan dus doen alsof de mail komt vanuit info@legitbedrijf.com. Echter, deze spoofmails worden erg makkelijk onderschept als de gespoofde partij een SPF record heeft en jouw mailomgeving dat ook controleert. Een SPF-record een stukje tekst in de publieke DNS records van een domein, die aangeeft welke addressen namens dat domain mogen mailen, zodat onvangers daarop kunnen controleren.

Als je gespoofde mailtjes vanuit deze tool vandaag de dag nog doorgelaten worden in jouw mailomgeving, dan is er wel iets vreselijks mis. Er is veel druk geweest van grote partijen (zoals Google en Microsoft) om te conformeren aan minimale vereisten van mailbeveiliging, anders kwam je mail gewoon niet meer aan.

Wat ik steeds vaker zie en wat ook regelmatig prima door spam filters komt is display name spoofing. Dat wil zeggen dat je een naam ziet van iemand (je baas of zo) maar het adres is iets heel wat anders. Bijvoorbeeld het mailadres is louche_gast88 (at) gmail.com (voorbeeld! is niet mijn adres) maar de naam die je in de inbox ziet is "Henk de Baas".
In outlook op een desktop kan je hier haast niet meer intrappen, maar op mobieltjes worden e-mail adressen niet altijd getoond. Dit is soms voldoende om mensen te laten intrappen. Als het van de baas is, dan moet het wel belangrijk zijn. Je kan heel makkelijk in gmail gewoon onder personalia naam en achternaam veranderen. Je kan zelfs als displayname henk.debaas@echtbedrijf.nl invullen. En die staat dan groots bovenaan de ontvangen mailtjes (met heeeeel klein het echte e-mail adres).

spoofing en baiting kan dus prima samengaan. Wanneer je een mail verstuurt om te baiten en meteen een telefoonnummer vraagt bijvoorbeeld (vrij bescheiden voorbeeld. De kans is klein, maar als iemand terugmailt met zijn nummer, is dat dubbelbonus. Zelfs als iemand het doorheeft en terugmailt met "He p*k, leer spellen" dan is dat ook waardevolle informatie. Iemand die makkelijk uit te lokken is. Mooi.

En dan heb ik het nu meer over spoofing gehad dat het baiten. Als ik de eerdere reacties lees, wordt er niet eens meer de moeite gedaan om mensen uit te lokken tot een reactie.

Ik zie hiermee wel een wijziging van strategie. vorig jaar zag ik nog optimistische mails waarbij de "baas" vraagt snel wat ruggen over te maken. Nu is het dus vrij bescheiden of zelfs helemaal niets, om mensen niet al te hard te alarmeren. Erg interessant.

Overigens waar ik werk kwamen ook massaal slechtgeschreven gmails aan, maar wel met displayspoofing. Ik wacht met vol verwachting de toegespitste phishingmails af. Ik heb niet geantwoord, ik wil ze niet te veel spoileren natuurlijk. Ben benieuwd wat het wordt!

aikebah
11 november 2021 19:20

Typisch voorbeeld van foute conclusies van de onderzoekers, want de gerefereerde 'follow-up' email heb ik de afgelopen weken in veelvoud gezien in de mailbox. De zogenaamde 'bait' mail die er aan vooraf zou gaan 0 keer.

kodak

Networking en security
Phishing

@aikebah • 11 november 2021 19:27

Dat hangt er vanaf welke grenzen ze toegepast hebben om tot conclusies te komen. De onderzoekers stellen dat zij bij ruim 3000 bedrijven onderzoek hebben gedaan over kennelijk meerdere mailboxen. Dat jij een afwijking meent te zien wil dus niet zomaar zeggen dat jou grenzen gelijk zijn of dat wat jij mee maakt representatief is. Het lijkt er eerder op dat het ontbreekt aan duidelijke grenzen om conclusies te trekken, of om bepaalde gegevens buiten beschouwing te laten.

aikebah
@kodak • 11 november 2021 19:32

Oh, ik geloof best dat de 'bait mails' gestuurd worden, maar niet dat ze als bait-mail bedoeld zijn, maar gewoon, net als anderen al hinten: als simpel filter voor 'bestaat dit harvested adres nog' dwz: dat het ze vooral gaat om de non-delivery-reports van de inmiddels verlopen mailadressen.
Barracuda is gaan kijken naar mate van voorkomen mailtype 1, toen ze bij reageren op mail mailtype 2 binnenkregen vanuit de veronderstelling dat tussen de mailtypes een causaal verband zat.

kodak

Networking en security
Phishing

@aikebah • 11 november 2021 19:39

Ik lees niet terug hoe de onderzoekers het onderzoek gedaan hebben. Dat zorgt er voor dat ik er niet zomaar vanuit kan gaan hoe ze tot conclusies gekomen zijn. Het maakt hoe dan ook de conclusies niet makkelijk te accepteren. Want net als het voorbeeld wat jij geeft kan het net zo goed zijn dan de bait wel bait is maar de criminelen veel willekeuriger en slordiger te werk gaan dan de onderzoekers verwachten. Als criminelen al onbekende adressen gebruiken lijken ze meer te verwachten slachtoffers te maken die hoe dan ook makkelijk op mailtjes klikken. Die bait kan dus net zo goed iets zijn wat ze er ook maar even bij doen omdat het kan.

aikebah
@kodak • 11 november 2021 20:29

[1] The original attack on August 10, 2021 was an email with a subject line ‘HI’ and an empty body content.

As part of the experiment, the Barracuda employee then replied on August 15, 2021 with an email containing, “Hi, how may I help you?”

[2] Within 48 hours on August 17, 2021, the employee received a targeted phishing attack.

[3] The original email was designed to verify the existence of the mailbox [4] and the willingness of the victim to respond to email messages.

Dat noem ik het trekken van causale verbanden die nergens op slaan.

"Hello Norton Customer" is namelijk verre van een "targeted phishing attack", dat is een algemeen breed rondgaande phishing attack.

Een typisch gevalletje van 'coincidence' dat de generieke spam volgde kort op het reageren op een mailaddress-validity-probe.

[1] en [3] is common-sense logica, [4] is aanemelijke speculatie, maar [2] is klinkklare nonsens want is een generieke phishing mail.

Vervolgens zijn ze gaan tellen waar de 'probe' mails vandaan komen die hun email-gateway ontvangt. En, wonder boven wonder: die komen van telkens nieuwe, low volume gmail adressen. Niet heel verbazingwekkend, want hoog volume zou ze direct een detectie door google opleveren, eigen hosting een te grote kans op een snelle blocklist, dus de meest logische strategie voor het sanitizen van je spam-database is door het op laag volume te zenden uit een hele reeks mailadressen van een provider die zeer veel gebruikt wordt en dus een grote kans oplevert niet op een blocklist te staan die je mails naar /dev/null routeren, zodat daadwerkelijk getracht wordt ze af te leveren.

De titel 'bait-mail' die ze aan de probe geven is pure click-bait marketing van hun mailfilters.

kodak

Networking en security
Phishing

@aikebah • 11 november 2021 21:22

Ik trek niet in twijfel dat je op basis van die stellingen kan twijfelen, ik stel dat er hoe dan niet genoeg bekend is over welke eisen de onderzoekers wel en niet hebben toegepast om de conclusies redelijk te kunnen vinden. Ja, je kan prima al twijfels hebben over dit soort onderbouwing. Maar het lijkt dus nog veel vervelender te zijn door gebrek aan duidelijkheid wat de onderzoekers wanneer hebben laten meetellen en wanneer niet.

icanbepanda
11 november 2021 20:26

Ik kan niet de enige zijn hier toch die mijn mail client (K9 Mail) geconfigureerd heeft om gewoon standaard text/plain te renderen?
Van alle mailtjes die ik de afgelopen tijd ontvangde, stuurde maar een mail bericht geen text/plain part mee.

Sowieso heb ik echt 0.0 met HTML/CSS in e-mails, het voegt niets toe en is alleen maar distracting naar mijn mening.
$_/-\o_$ https://useplaintext.email/ $_/-\o_$

Krulliebol
@icanbepanda • 11 november 2021 21:34

Waarschijnlijk maakt dat hier niet uit en gebruiken ze geen trackers in de mail zelf. Het feit dat de mail geaccepteerd wordt door de server en geen foutmelding terugstuurt, is al een bevestiging voor de verzender dat het mailadres (nog) bestaat.

SiGNe
12 november 2021 03:46

En als ik dan een mail naar een Gmail adres wil sturen krijg ik het terug omdat mijn server niet geauthenticeerd zou zijn (geen SPF record).

Blue Knight
@SiGNe • 12 november 2021 08:15

Regel dat dan even. Doe dan ook meteen even DKIM en DMARC

SiGNe
@Blue Knight • 12 november 2021 18:33

Helaas gaat het niet zo simpel.
Voor mijn eigen domeinnamen had ik het allemaal al ingesteld, voor smtp moet ik helaas de server van m'n provider (SSHUnet) gebruiken (ook al zou ikzelf m'n beveiliging een stuk zwaarder instellen.. gebruik van SSH bijv.)
Heb al wel de helpdesk gemailed dus hopelijk worden de DNS records snel aangepast, ging een vorige keer ook vrij vlot met het instellen van een _acme-challenge.

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Securitybedrijf: 91 procent bait attacks afkomstig van Gmail-adressen

Lees meer

Reacties (68)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden